Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MFAの設定で色々失敗した話

Yuki_Kurono
March 10, 2022
Programming
1
580

 MFAの設定で色々失敗した話

Yuki_Kurono

March 10, 2022
Tweet

More Decks by Yuki_Kurono

See All by Yuki_Kurono
re_invent 2023事前勉強会
yuki_kurono
0
8
CloudFormationの運用が 辛くならない方法を本気で考えてみた
yuki_kurono
0
57
CloudFormationで登場したForEachをちゃんと理解してみる
yuki_kurono
0
260
Turnstileのウィジェット モードとは何者か
yuki_kurono
0
120
CodeGuru Security ってなんだ?
yuki_kurono
0
310
えるしってるか CloudFrontはWAFがあっても カスタムエラーレスポンスを返せる
yuki_kurono
0
130
Cloudflare初心者がIaCから基本構成を学んでみた
yuki_kurono
1
350
Terraformのnull_resource ってなに?aws cli が実行できるらしい
yuki_kurono
0
510
Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい
yuki_kurono
0
430

Other Decks in Programming

See All in Programming
Changed Rules: Architectures with Lightweight Stores
manfredsteyer
PRO
0
230
#phpcon_odawara オープン・クローズドなテストフィクスチャを求めて / open closed test fixtures
77web
3
220
Front-end application development, Symfony-style(s)
dunglas
2
1.9k
Site Reliability Engineering for GMO
pyama86
7
1k
try! Swift Tokyo 2024のLT枠に採択されたプロポーザルを出すときに考えていたこと
ski
0
350
From Spring Boot 2 to Spring Boot 3 with Java 22 and Jakarta EE
ivargrimstad
0
1.1k
今、知っておきたい! 生成AIエージェントの世界
elith
3
350
スクラムガイドのスプリントレトロスペクティブを改めて読みかえしてみた / Re-reading the Sprint Retrospective Section in the Scrum Guide
mackey0225
3
400
Rubyでたのしむクリエイティブコーディング/Enjoy Creative coding with Ruby
chobishiba
1
170
StoreKit2によるiOSのアプリ内課金のリニューアル
kangnux
0
110
Micro Frontends for Java Microservices - Devnexus 2024
mraible
PRO
0
470
Tailwind CSSを本気でカスタマイズする方法
fsubal
13
5k

Featured

See All Featured
The Brand Is Dead. Long Live the Brand.
mthomps
48
28k
Code Reviewing Like a Champion
maltzj
513
39k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
19
1.9k
Fantastic passwords and where to find them - at NoRuKo
philnash
36
2.5k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
658
120k
No one is an island. Learnings from fostering a developers community.
thoeni
15
2.1k
Building Your Own Lightsaber
phodgson
98
5.7k
A Tale of Four Properties
chriscoyier
150
22k
Facilitating Awesome Meetings
lara
41
5.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
356
22k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
243
20k
The Language of Interfaces
destraynor
151
23k

Transcript

  1. MFAの設定で色々失敗した話 アイレット株式会社 黒野雄稀 JAWS-UG CLI専門支部 #251R 2022/03/10

  2. 自己紹介 名前:黒野 雄稀 趣味:Cookie Clicker AWS歴:3年くらい 所属:アイレット株式会社

  3. • 仮想 MFA デバイス • U2F セキュリティキー • ハードウェア MFA

    デバイス • SMS テキストメッセージベース MFA https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html 使用できる方法 AWS におけるMFA セキュリティを向上させるには、多要素認証(MFA)を 設定して AWS リソースを保護することを推奨します。 IAM ユーザーまたは AWS アカウント ルートユーザー に 対して MFA を有効にすることができます。 概要

  4. 今回お話しする前提 • 環境は稼働中のお客さんのAWS環境 • MFAを必須にするIAMポリシーをアタッチする必要があった • こちらが設計したIAMポリシーで、 お客さんにIAMユーザを作成してもらう状況

  5. MFAを設定する

  6. MFAの設定を中断する キャンセル!

  7. 設定中に中断すると… • 「エンティティは既に存在しています」とエラーが発生する • MFAデバイスはコンソールから確認すると「割り当てなし」と表示 される

  8. AWSのドキュメント これは、誰かが以前に IAM コンソールでユーザーに仮想 MFA デバイ スの割り当てを開始し、プロセスをキャンセルした場合に発生する可 能性があります。これにより、IAM のユーザーの MFA

    デバイスが作 成されますが、アクティブ化されることはありません。 新しいデバイスをユーザーに関連付ける前に、既存の MFA デバイス を削除する必要があります。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/troubleshoot_general.html #troubleshoot_general_access-denied-delete-mfa

  9. MFAのリセット方法(CLI)

  10. コマンド実行手順① 設定に失敗したMFAのSerialNumber確認 root@kurono:~# aws iam list-virtual-mfa-devices { "VirtualMFADevices": [ {

    "SerialNumber": "arn:aws:iam::12345678910:mfa/kurono-test-mfa" }, { "SerialNumber": "arn:aws:iam::12345678910:mfa/root-account-mfa-device", "User": { "UserId": "12345678910", "Arn": "arn:aws:iam::12345678910:root", "CreateDate": "2017-07-27T06:47:31+00:00", "PasswordLastUsed": "2017-07-27T06:47:59+00:00" }, "EnableDate": "2017-07-27T07:03:10+00:00" }, ] }

  11. コマンド実行手順② 設定に失敗したMFAの設定削除 root@kurono:~# aws iam delete-virtual-mfa-device --serial-number "arn:aws:iam::12345678910:mfa/kurono-test-mfa"

  12. コマンド実行手順③ 失敗したMFAが削除されているか確認 root@kurono:~# aws iam list-virtual-mfa-devices { "VirtualMFADevices": [ {

    "SerialNumber": "arn:aws:iam::12345678910:mfa/root-account-mfa-device", "User": { "UserId": "12345678910", "Arn": "arn:aws:iam::12345678910:root", "CreateDate": "2017-07-27T06:47:31+00:00", "PasswordLastUsed": "2017-07-27T06:47:59+00:00" }, "EnableDate": "2017-07-27T07:03:10+00:00" }, ] }

  13. どうなったか?

  14. アクセスキー発行権限不足 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access-keys.html#access- keys_required-permissions

  15. Unable to start the environment. You don't have required permissions.

    CloudShell実行権限不足 https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/sec-auth-with-identities.html

  16. まとめ • 検証してからIAMユーザは作成しよう • MFAを設定する時は慎重に。。(戒め)

  17. 参考 ・https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html AWS での多要素認証 (MFA) の使用 ・https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/troubleshoot_general.html #troubleshoot_general_access-denied-delete-mfa AWS ドキュメント(MFAのリセット方法)

    ・https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/sec-auth-with-identities.html 管理AWS CloudShell IAM ポリシーでのアクセスと使用